شرکت بزرگ نرمافزارهای آموزشی PowerSchool تأیید کرده است که با یک حادثه امنیت سایبری مواجه شده که به یک عامل تهدید (هکر یا مهاجم) اجازه داده اطلاعات شخصی دانشآموزان و معلمان را از مناطق آموزشی که از پلتفرم SIS (سیستم مدیریت اطلاعات دانشآموزی) این شرکت استفاده میکردند، سرقت کند.
PowerSchool یک ارائهدهنده راهکارهای نرمافزاری مبتنی بر فضای ابری برای مدارس و مناطق آموزشی K-12 است که از بیش از ۶۰ میلیون دانشآموز و بیش از ۱۸,۰۰۰ مشتری در سراسر جهان پشتیبانی میکند. این شرکت مجموعه کاملی از خدمات را برای کمک به عملکرد مناطق آموزشی ارائه میدهد، از جمله پلتفرمهایی برای ثبتنام، ارتباطات، حضور و غیاب، مدیریت کارکنان، سیستمهای آموزشی، تحلیل دادهها و امور مالی.
اگرچه محصولات این شرکت بیشتر توسط مناطق آموزشی و کارکنان آنها شناخته میشوند، PowerSchool همچنین Naviance را مدیریت میکند؛ پلتفرمی که توسط بسیاری از مناطق آموزشی K-12 در ایالات متحده برای ارائه ابزارهای شخصیسازیشده برنامهریزی در زمینه آمادگی برای دانشگاه، شغل و زندگی به دانشآموزان استفاده میشود.
هدف حملات سرقت داده قرار گرفته است.
در یک اطلاعیه مربوط به حادثه امنیت سایبری که بعدازظهر سهشنبه برای مشتریان ارسال شد و توسط BleepingComputer دریافت شده است، PowerSchool اعلام کرد که برای اولین بار در تاریخ ۲۸ دسامبر ۲۰۲۴ از این نقض آگاه شده است، پس از آنکه اطلاعات مشتریان PowerSchool SIS از طریق پلتفرم پشتیبانی مشتری PowerSource به سرقت رفت.
PowerSchool SIS یک سیستم مدیریت اطلاعات دانشآموزی (SIS) است که برای مدیریت سوابق دانشآموزان، نمرات، حضور و غیاب، ثبتنام و موارد دیگر استفاده میشود.
بهعنوان نقطه اصلی ارتباط برای منطقه آموزشی شما، ما با شما تماس میگیریم تا شما را مطلع کنیم که در تاریخ ۲۸ دسامبر ۲۰۲۴، PowerSchool از یک حادثه احتمالی امنیت سایبری که شامل دسترسی غیرمجاز به اطلاعات خاصی از طریق یکی از پورتالهای پشتیبانی مشتری متمرکز بر جامعه ما به نام PowerSource بود، آگاه شد.
پس از بررسی این حادثه، مشخص شد که عامل تهدید (هکر) با استفاده از اطلاعات کاربری به خطر افتاده (compromised credentials) به پورتال دسترسی پیدا کرده و دادهها را با استفاده از ابزار پشتیبانی مشتری به نام «مدیر صادرات دادهها» (export data manager) سرقت کرده است.
PowerSchool در بیانیهای به BleepingComputer گفت: ‘طرف غیرمجاز توانست با استفاده از یک اطلاعات کاربری به خطر افتاده (compromised credential) به یکی از پورتالهای پشتیبانی مشتری ما که بر جامعه متمرکز است و PowerSource نام دارد، دسترسی پیدا کند.
PowerSource شامل یک ابزار دسترسی نگهداری است که به مهندسان PowerSchool اجازه میدهد برای پشتیبانی مداوم و رفع مشکلات عملکردی به نمونههای (instances) سیستم مدیریت اطلاعات دانشآموزی (SIS) مشتریان دسترسی پیدا کنند.
با استفاده از این ابزار، مهاجم جداول پایگاه داده ‘دانشآموزان’ و ‘معلمان’ سیستم مدیریت اطلاعات دانشآموزی (SIS) PowerSchool را به یک فایل CSV استخراج کرد که سپس به سرقت رفت.
PowerSchool تأیید کرده است که دادههای به سرقت رفته عمدتاً شامل اطلاعات تماس مانند نامها و آدرسها است. با این حال، برای برخی از مناطق آموزشی، ممکن است شمارههای تأمین اجتماعی (SSNs)، اطلاعات شناسایی شخصی (PII)، اطلاعات پزشکی و نمرات نیز در میان این دادهها باشد.
یک سخنگوی PowerSchool به BleepingComputer گفت که تیکتهای مشتریان، اطلاعات کاربری مشتریان یا دادههای مربوط به انجمنها (forum data) در این نقض امنیتی افشا یا استخراج نشدهاند.
این شرکت همچنین تأکید کرد که تمامی مشتریان سیستم مدیریت اطلاعات دانشآموزی (SIS) PowerSchool تحت تأثیر قرار نگرفتهاند و انتظار دارد که تنها بخشی از مشتریان مجبور به صدور اطلاعیه باشند.
در پاسخ به این حادثه، شرکت با کارشناسان امنیت سایبری شخص ثالث، از جمله CrowdStrike، همکاری کرد تا این حادثه را بررسی و کاهش دهد.
یکی از اقدامات امنیتی شرکت پس از حادثه، تقویت امنیت حسابهای پورتال مشتریان از طریق تغییر رمزها و اعمال سیاستهای قویتر برای مدیریت رمزهای عبور بوده است.
در یک پرسش و پاسخ (FAQ) غیرمعمولاً شفاف که فقط برای مشتریان قابل دسترسی است، PowerSchool همچنین تأیید کرد که این یک حمله باجافزاری (ransomware) نبوده است، اما آنها مبلغی بهعنوان باج پرداخت کردهاند تا از انتشار دادهها جلوگیری شود.
در یک پرسش و پاسخ (FAQ) که توسط BleepingComputer مشاهده شده، آمده است: ‘PowerSchool از خدمات CyberSteward، یک مشاور حرفهای با تجربه عمیق در مذاکره با عوامل تهدید، استفاده کرده است.’
با راهنمایی آنها (CyberSteward)، PowerSchool اطمینانهای معقولی از عامل تهدید دریافت کرده است که دادهها حذف شدهاند و هیچ نسخه اضافی از آنها وجود ندارد.
وقتی از آنها پرسیده شد که چه مبلغی به عوامل تهدید پرداخت شده است، به BleepingComputer گفته شد: ‘با توجه به ماهیت حساس تحقیقات ما، نمیتوانیم اطلاعاتی درباره جزئیات خاص ارائه دهیم.
در حالی که شرکت اعلام کرد یک ویدیو دریافت کرده که نشان میدهد دادهها حذف شدهاند، اما مانند تمام حملات باجگیری داده، هرگز تضمین صددرصدی وجود ندارد که این اتفاق افتاده باشد.
این شرکت اکنون بهصورت مستمر فضای وب تاریک (dark web) را رصد میکند تا مشخص کند که آیا دادهها افشا شدهاند یا ممکن است در آینده افشا شوند.
برای افرادی که تحت تأثیر قرار گرفتهاند، PowerSchool خدمات پایش اعتبار برای بزرگسالان آسیبدیده و خدمات حفاظت از هویت برای کودکان آسیبدیده ارائه میدهد.
PowerSchool اعلام کرده است که عملیاتهای آن تحت تأثیر قرار نگرفتهاند و خدمات، علیرغم این نقض امنیتی، به شکل عادی ادامه دارند.
این شرکت اکنون در حال اطلاعرسانی به مناطق آموزشی تحت تأثیر است و بستهای ارتباطی ارائه خواهد کرد که شامل ایمیلهای اطلاعرسانی، نکات صحبت (Talking Points) و پرسش و پاسخ (FAQs) است تا به معلمان و خانوادهها درباره این حادثه اطلاعات لازم را ارائه دهد.
تعیین اینکه آیا شما تحت تأثیر قرار گرفتهاید.
در یک بحث در Reddit درباره این حادثه، کارکنان فناوری اطلاعات مناطق آموزشی گفتند که مشتریان میتوانند با بررسی اینکه آیا کاربری نگهداری (maintenance user) با نام ‘۲۰۰A0’ در فایلهای ps-log-audit فهرست شده است یا نه، تشخیص دهند که آیا دادهها سرقت شدهاند.
یکی از مشتریان PowerSchool SIS توصیه کرد: ‘میتوانید دسترسیهای ثبتشده در لاگهای حسابرسی را با خروجیهای دادههای انبوه بر اساس زمان در لاگهای دادههای انبوه تطبیق دهید.’
یکی دیگر از مشتریان اعلام کرد که لاگهای آنها نشان دادهاند جداول ‘Students’ و ‘Teachers’ در تاریخ ۲۲ دسامبر ۲۰۲۴ صادر شدهاند.
یکی از مشتریان شواهدی در لاگهای خود پیدا کرده که نشان میدهد فایلهای داده دانشآموزان و معلمان در تاریخ مذکور از طریق یک آدرس IP مرتبط با اوکراین صادر شدهاند.
شرکت قصد دارد راهنماهایی با جزئیات کامل در اختیار مشتریان قرار دهد تا آنها بتوانند متوجه شوند که آیا دادههایشان تحت تأثیر نقض امنیتی بوده و چه اطلاعاتی به سرقت رفته است.
تحقیقات همچنان ادامه دارد و انتظار میرود شرکت امنیت سایبری CrowdStrike گزارش نهایی خود را تا تاریخ ۱۷ ژانویه ۲۰۲۵ منتشر کند.
PowerSchool اعلام کرده است که به شفافیت متعهد است و گزارش را پس از آماده شدن با مناطق آموزشی آسیبدیده به اشتراک خواهد گذاشت.
بهروزرسانی ۷ ژانویه ۲۰۲۵: اشتباه تایپی که بهاشتباه نشان میداد اطلاعات ورود مشتریان، درخواستهای پشتیبانی، و پایگاه داده انجمن به بیرون منتقل شدهاند، اصلاح شد.
